Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Самый крупный штраф за самую крупную утечку в медицине
Anthem Inc., одна из крупнейших американских компаний в сфере медицинского страхования, допустившая утечку данных 79 млн пациентов в 2015 году, согласилась выплатить 16 миллионов долларов в пользу Министерства здравоохранения США и Управления по гражданским правам, сообщает databreaches.net.
На сегодняшний момент это крупнейший штраф, уплаченный в пользу Управления по гражданским правам. Предыдущий рекорд принадлежит компании, заплатившей 5,5 млн долл. США в 2016 году. WSJ считает инцидент в Anthem самым масштабным в медицинской вертикали.
Причиной компрометации данных стал несчастный случай – один из сотрудников открыл электронное письмо и перешел по ссылке, разрешив тем самым загрузку и исполнение вредоносного кода на своем устройстве. После чего злоумышленники получили доступ к данным пациентов и сумели их скопировать.
В результате атаки оказались скомпрометированы имена, даты рождения, адреса и номера социального страхования американцев. Хакеры не добрались до номеров счетов, кредитных карт, медицинской информации. По крайней мере, на «черном» рынке платежные данные клиентов Anthem не продавались.
В ходе расследования выяснилось, что в компании не анализировали возможные риски утечки данных, существующие процедуры отслеживания подозрительной активности в информационных системах не были реализованы на должном уровне. Сотрудники Anthem, отвечающие за информационную безопасность, оказались не готовы распознать и среагировать на угрозу. Так команде ИБ-специалистов компании потребовалось несколько недель, чтобы обнаружить атаку и приступить к ее отражению.
Минздрав США признал недостаточными меры, предпринятые компанией для защиты данных пациентов до и после атаки. Поэтому в рамках процедуры урегулирования компания будет обязана пересмотреть всю систему обеспечения информационной безопасности под контролем правительственных специалистов. Ранее сообщалось, что компании придется втрое увеличить бюджет на информационную безопасность.
Помимо претензий со стороны государства, Anthem столкнулась с коллективным иском граждан, чьи данные были скомпрометированы. Этот спор также удалось урегулировать. С учетом судебных издержек, каждый пациент получил чуть больше доллара. Общая сумма затрат компании на выплаты в рамках мирового соглашения с пациентами составила 115 млн долл. США.